SWA에서 Active Directory 인증 구성

소개

이 문서에서는 SWA(Secure Web Appliance)에서 Active Directory 인증을 구성하는 단계에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• SWA 관리.
• 기본 네트워킹 및 프록시 프로토콜.
• 기본 Active Directory 관리.

Cisco에서는 다음과 같은 툴을 설치하는 것이 좋습니다.

• 물리적 또는 가상 SWA.

• SWA GUI(Graphical User Interface)에 대한 관리 액세스
• Active Directory에 대한 관리 액세스

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

체크리스트

SWA를 Active Directory에 연결하기 전에 필요한 모든 검사가 완료되었는지 확인하십시오.

• SWA는 Active Directory에 대한 적절한 네트워크 액세스 권한이 있습니다. 자세한 내용은 다음 사이트를 참조하십시오. Secure Web Appliance용 방화벽을 구성합니다.
• SWA 호스트 이름에 대한 DNS 레코드가 Active Directory에 생성됩니다. (CLI > sethostname)

참고: 투명 모드에서 Secure Web Appliance 호스트 이름이 리디렉션 호스트 이름과 일치하는지 확인합니다.

• SWA 인터페이스에 대한 DNS 레코드는 Active Directory에서 생성됩니다.

• Secure Web Appliance의 현재 시간을 Active Directory 서버의 시간과 비교하고, 그 차이가 Active Directory 서버의 "컴퓨터 클럭 동기화에 대한 최대 허용 한도" 설정에 정의된 값을 초과하지 않는지 확인합니다.

• Secure Web Appliance를 인증에 사용할 Active Directory 도메인에 가입하는 데 필요한 권한 및 도메인 정보가 있는지 확인합니다.

  • Active Directory 서버에서 Domain Admins 또는 Account Operators 그룹의 구성원인 사용자를 만듭니다.

  • 또는 필요한 최소 권한을 가진 사용자를 만듭니다. 암호 재설정, 유효성이 확인된 write to servicePrincipalName, Write account restrictions, Write dNSHostName 및 Write servicePrincipalName입니다. 이러한 권한은 어플라이언스를 도메인에 가입시키고 전체 기능을 보장하기에 충분합니다.

• SWA가 Active Directory FQDN을 확인할 수 있는지 확인합니다.

Active Directory 구성

SWA에서 업스트림 프록시를 구성하려면 다음 단계를 사용합니다.

단계	세부사항
1단계. SWA에서 정보 수집	1.1단계.SWA CLI에서 runsethostname을 실행하여 현재 SWA 호스트 이름을 확인합니다. 참고: 현재 호스트 이름을 변경하려면 새 호스트 이름을 입력하고 Enter 키를 누른 다음 commit 명령을 실행하여 변경 사항을 커밋합니다. 1.2단계. SWA GUI에서 Network(네트워크)로 이동하여 Interfaces(인터페이스)를 선택하고, 인터페이스 FQDN을 확인합니다. 현재 인터페이스 FQDN을 변경하려면 Edit Settings(설정 편집)를 클릭하고 변경 사항을 수행한 다음 Commit(커밋)을 수행합니다.  1.3단계.SWA GUI에서 System Administration(시스템 관리)으로 이동하고 Time Settings(시간 설정)를 클릭하고 NTP 설정이 올바른지 확인합니다. 1.4단계. SWA GUI에서 Network(네트워크)로 이동하고, DNS를 선택하고, 올바른 DNS 서버가 정의되었는지 확인합니다. 팁: SWA가 공용 DNS 서버로 구성되어 있고 Active Directory 도메인에 대해 다른 DNS 서버를 정의하려면 설정 편집을 클릭하고 Alternate DNS servers Overrides (Optional)(대체 DNS 서버 재정의) 섹션에서 Active Directory 도메인 이름 및 DNS 서버 IP 주소를 정의한 다음 변경 사항을 제출 및 커밋합니다. 이미지 - 대체 DNS 서버 추가
2단계. Active Directory에서 DNS 레코드 구성	2.1단계. Active Directory 서버에 연결하고 DNS Manager 콘솔로 이동합니다. 2.2단계. 왼쪽 패널에서 원하는 도메인 이름을 선택합니다. 2.3단계. 오른쪽 패널에서 마우스 오른쪽 버튼을 클릭하고 New Host(A 또는 AAAA)를 선택합니다 이미지 - 새 A 레코드 만들기 2.4단계. SWA 호스트 이름에 대한 DNS 레코드를 정의합니다(1.1단계에서 수집됨). 주의: Active Directory가 관리 인터페이스를 통해 SWA에 연결하는 경우 관리 IP 주소를 정의하거나 Active Directory가 액세스할 수 있는 SWA의 올바른 IP 주소(P1 인터페이스 IP 주소 또는 P2 인터페이스 IP 주소)를 정의합니다 2.5단계. 각 SWA 인터페이스에 대한 DNS 레코드를 정의합니다. 2.6단계(선택 사항) 고가용성을 사용 중인 경우 정의된 가상 IP 주소로 고가용성 FQDN에 대한 DNS 레코드를 정의합니다.
3단계. Active Directory 영역 구성	3.1단계. SWA GUI에서 Network(네트워크)로 이동하고 Authentication(인증)을 선택합니다. 3.2단계. Add Realm을 클릭합니다. 3.3단계. 영역 이름을 정의합니다. 3.4단계. 인증 서버 유형 및 체계에서 Active Directory를 선택합니다. 3.5단계. 기본적으로 SWA는 관리 인터페이스를 사용하여 Active Directory에 연결합니다. 이 설정을 변경하려면 Set Source Interface(소스 인터페이스 설정)를 클릭하고 원하는 인터페이스를 선택합니다.  3.6단계. Active Directory 도메인 컨트롤러의 호스트 이름 또는 IP 주소를 정의합니다. 3.7단계. Active Directory 도메인 이름을 입력합니다.  단계 3.8. (선택 사항) Active Directory의 다른 OU(Organization Unit)에 컴퓨터 계정을 저장하려면 원하는 위치를 정의합니다 3.9단계. Join Domain(도메인 가입)을 클릭합니다. 이미지 - 영역 추가 3.10단계. 사용자 이름 및 비밀번호를 입력하고 Join을 클릭합니다.  팁: 사용자 이름에 도메인 이름을 포함하지 마십시오(예: "DOMAIN\SWA_ADMIN" 또는 "SWA_ADMIN@domain" 대신 "SWA_ADMIN"을 입력합니다). 이미지 - SWA가 성공적으로 AD에 가입했습니다. 3.11단계. 제출 3.12단계. 변경 사항을 커밋합니다.

문제 해결

이 오류는 Active Directory와 SWA 간의 시간이 동기화되지 않았음을 나타냅니다. 1.3단계를 사용하여 SWA의 시간을 수정합니다

Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great
Warning: Clock skew between WSA 'Thu Apr 16 08:25:17 2026' and AD server 'Wed Apr 15 08:30:30 2026' is too great

swa1.*.* "알 수 없는 호스트 이름" 오류를 해결할 수 없습니다.

이 오류는 SWA가 DNS 서버를 통해 자체 인터페이스 및 호스트 이름을 확인할 수 없음을 나타냅니다. SWA가 올바른 DNS 서버로 구성되었는지 확인하고(1.4단계) 2단계를 실행하여 누락된 DNS 레코드를 생성합니다.

Failure: Unable to resolve 'swa1.amojarra.amojarra' : Unknown hostname

팁: DNS 서버 또는 DNS 레코드를 수정한 후에도 동일한 오류를 수신하는 경우 GUI > Network > DNS > Clear DNS > Clear DNS Cache에서 DNS 캐시를 지웁니다.

ADD1.*.* : "알 수 없는 호스트 이름" 실패

이 오류는 SWA가 Active Directory와 관련된 DNS 레코드를 확인할 수 없음을 나타냅니다. 1.4단계를 사용하여 Active Directory 도메인에 대한 올바른 DNS 서버를 구성합니다.

Failure: Unable to resolve 'ADD1.amojarra.amojarra' : Unknown hostname

팁: DNS 서버 또는 DNS 레코드를 수정한 후에도 동일한 오류가 계속 발생하면 GUI > Network > DNS > Clear DNS > Clear DNS Cache에서 DNS 캐시를 지웁니다.

서버에서 Kerberos 티켓을 가져오는 동안 오류가 발생했습니다. "kinit: Password incorrect" Failure(잘못된 비밀번호)

이 오류는 Active Directory에 연결하는 데 사용된 사용자 이름 또는 암호가 잘못되었음을 나타냅니다.

Failure: Error while fetching Kerberos Tickets from server '10.48.48.17' : kinit: Password incorrect

도메인에 가입할 수 없음: 계정을 미리 만들지 못했습니다. "액세스 불충분"

이 오류는 사용자가 컴퓨터 계정을 만드는 데 필요한 최소한의 권한이 없음을 나타냅니다. 이 문서의 Check List 섹션에 따라 사용자 권한을 확인하십시오.

Failure: Error while joining WSA onto server '10.48.48.17' : ads_print_error: AD LDAP ERROR: 50 (Insufficient access): 00000005: SecErr: DSID-031A11E3, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Failed to join domain: failed to precreate account in ou cn=Computers,dc=AMOJARRA,dc=AMOJARRA: Insufficient access

관련 정보

• AsyncOS 15.0 for Cisco Secure Web Appliance 사용 설명서
• Secure Web Appliance용 방화벽 구성
• Secure Web Appliance에서 맞춤형 URL 범주 구성 - Cisco
• Cisco WSA(Web Security Appliance)에서 Office 365 트래픽을 인증 및 암호 해독에서 제외하는 방법 - Cisco
• Use Secure Web Appliance 모범 사례 - Cisco
• Secure Web Appliance에서 트래픽 차단
• Secure Web Appliance에서 업로드 트래픽 차단
• SWA에서 실행 파일 다운로드 차단
• Secure Web Appliance에서 Microsoft 업데이트 트래픽 우회
• Secure Web Appliance에서 인증 우회 - Cisco

개정 이력

개정	게시 날짜	의견
1.0	29-Apr-2026	최초 릴리스